Sicherheit im RRI
Sicherheit
DENIC benutzt TLS (RFC 6125) zur Sicherung des Realtime Registry Interfaces. Hierdurch werden die Anforderungen an Server-Authentisierung, Nachrichtenintegrität und Vertraulichkeit durch Verschlüsselung erfüllt.
Die Authentisierung des Servers gegenüber Clients kann anhand eines X.509-Version-3-Zertifikats durchgeführt werden.
Die Authentisierung des Clients gegenüber dem Server erfolgt mittels User und Passwort.
Validierung des Serverzertifikats
Die Kommunikation mit dem DENIC RRI-Server erfolgt stets in einer TLS-verschlüsselten Verbindung. Das dabei verwendete Server-Zertifikat kann verwendet werden, um zu überprüfen, ob man tatsächlich mit dem RRI-Server der DENIC verbunden ist. Es gibt drei Möglichkeiten, wie Sie bei der Validierung vorgehen können.
-
Keine Validierung: Es besteht keine Verpflichtung, das Zertifikat des RRI-Servers zu überprüfen. Wird auf die Validierung verzichtet, hat das Mitglied jedoch zu keinem Zeitpunkt eine Garantie, definitiv mit dem RRI-Server der DENIC verbunden zu sein. Dies stellt ein Sicherheitsrisiko dar und wird von DENIC nicht empfohlen.
-
Validierung über die Root-CA, diese Methode wird von DENIC empfohlen: Bei der Validierung über die Root-CA (Root Certificate authority) wird geprüft, von welcher Zertifizierungsstelle das Zertifikat des RRI-Servers unterzeichnet ist. Das Zertifikat des RRI-Servers ist gegenwärtig von einer CA unterzeichnet, die von mehreren übergeordneten Zertifizierungsstellen signiert ist. Entsprechend sind bei der Auftragsbearbeitung folgende Schritte auszuführen:
- TLS initialisieren
- Das Root-Zertifikat ggf. einlesen (Es ist zu beachten, dass das Root-Zertifikat nicht in allen Libraries, zum Beispiel bei OpenSSL, enthalten ist.)
- TCP-Connect öffnen
- TLS starten
- Zertifikat überprüfen (RFC 6125)
- Auftrag senden
- Antwort lesen
- Verbindung beenden
- TLS beenden
Vorteil dieser Methode ist, dass bei der Erneuerung des Zertifikats bei DENIC auf Client-Seite nichts unternommen werden muss, selbst bei einem Wechsel der Zertifizierungsstelle.
Transportverschlüsselung
Seitens des RRI-Servers werden in allen Umgebungen (Live und Test) folgende Cipher-Suiten und TLS-Protokolle angeboten:
| TLS-Protokollversion | Cipher Suiten |
|---|---|
| 1.3 | 128 Bit / TLS_AES_128_GCM_SHA256 Curve 25519 DHE 253 (preferred) |
| 1.2 | 256 Bit / ECDHE-RSA-AES256-GCM-SHA384 Curve 25519 DHE 253 (preferred) |
| 1.2 | 256 Bit / DHE-RSA-AES256-GCM-SHA384 DHE 1024 bits |
| 1.2 | 256 Bit / ECDHE-RSA-AES256-SHA384 Curve 25519 DHE 253 |
| 1.2 | 256 Bit / DHE-RSA-AES256-SHA256 DHE 1024 bits |
| 1.2 | 128 Bit / AES128-SHA |